La transformation numérique, avec tout ce qu’elle implique en termes de changements structurels indispensables et bénéfiques, n’a malheureusement pas apporté que des éléments positifs aux entreprises. Accélérée par la pandémie, la digitalisation a, certes, créé de nouvelles opportunités pour les organisations grâce, notamment, à l’instauration du télétravail mais elle a également augmenté leur exposition aux risques liés à la cybersécurité à une vitesse phénoménale. Pour certaines d’entre elles, la recrudescence de ces cyberattaques a eu des répercussions désastreuses avec des impacts allant bien au-delà de la simple perte de leurs données.
Les hackers ne manquent pas d’imagination lorsqu’il s’agit de violer la loi avec, comme principal moteur, l’enrichissement personnel soit en revendant les données volées, soit en réclamant une rançon aux entreprises visées. Les actes de cybercriminalité ne se contentent pas de s’intensifier, ils se diversifient, donnant davantage de fil à retordre aux entreprises pour les contrer et faire face à une gestion de crise potentiellement dévastatrice pour leur activité. Selon l’enquête annuelle du cabinet PwC, la principale préoccupation des dirigeants concerne désormais les risques liés aux risques cyber, bien avant la volatilité économique, le changement climatique, les conflits géopolitiques ou encore les risques liés aux problématiques de santé.
Afin de faire face à des cyber-menaces ultra-offensives commanditées par des pirates informatiques impitoyables, il est donc indispensable de comprendre leurs méthodes mais surtout d’identifier leur point d’entrée favori dans votre système informatique. Et c’est ici que l’humain entre en jeu ! En effet, 85% des violations de données impliquent un élément humain. Il est donc de la responsabilité des entreprises et de celle de leurs collaborateurs d’apprendre à s’en protéger.
Pourquoi la sécurité informatique est-elle menacée par les incidents humains ?
En préambule, rappelons ce qu’est la cybersécurité. Par définition, la cybersécurité (également appelée sécurité informatique ou des systèmes d’information) est la protection des données et des ressources informatiques d’un réseau d’entreprise contre tous les pirates du numérique.
Afin de protéger les ordinateurs (desktops), les périphériques intelligents (ex : IoT), les routeurs, les réseaux et le cloud des menaces, ces dernières s’équipent généralement de pare-feu (firewall), de filtrage DNS (Système de Noms de Domaine), d’une protection contre les logiciels malveillants (malwares), d’antivirus ainsi que de solutions de sécurité de la messagerie.
L’instauration de mesures efficaces en matière de cybersécurité s’avère de plus en plus difficile, d’autant qu’il y a désormais plus d’équipements que de personnes et que les hackers se montrent de plus en plus créatifs. Comme évoqué précédemment, si l’on en croit le rapport DBIR 2021 de Verizon, 85% des violations de données impliquent un élément humain. Concrètement, ce chiffre signifie : divulgation de données sensibles sur internet, négligence ou manque de prudence vis-à-vis des courriels, contournement des règles de sécurité ou gestion et utilisation inappropriée des ressources informatiques professionnelles.
Conscients que le facteur humain est le maillon faible de la sécurité numérique, les pirates se servent des collaborateurs comme porte d’entrée vers les Systèmes d’Information (SI) des entreprises, exploitant en priorité des faiblesses psychologiques et organisationnelles plutôt que des vulnérabilités informatiques.
Pour ce faire, ils ont recours à une arme redoutable et terriblement efficace : l’ingénierie sociale ou le piratage psychologique. Elle se définit comme l’art de manipuler sa cible pour la pousser à accomplir une action ou à divulguer des informations personnelles ou confidentielles à des fins d’escroquerie. L’objectif est d’obtenir de l’argent ou l’accès au SI d’une entité. Pour tromper sa victime, « l’ingénieur social » pourra notamment avoir recours à l’usurpation d’identité, en se faisant par exemple passer pour un technicien de maintenance informatique ou un collègue. Une fois en possession de codes d’accès ou de données confidentielles, le pirate poursuivra sa démarche d’infiltration du Système d’Information ou de vol de données.
Quels sont les modes opératoires des cybercriminels ?
Bien entendu, si l’utilisateur est sensibilisé à leurs modes opératoires, il sera moins enclin à se faire piéger, puisque plus à même de comprendre et donc d’anticiper ces techniques malveillantes. Les cybercriminels possèdent néanmoins plusieurs cordes à leurs arcs.
Harponnage ou spear-phishing (fraude au PDG), appâtage (ingénierie sociale), maliciel, faux-semblants, quiproquo, talonnage, hameçonnage vocal ou encore attaque par point d’eau sont autant d’attaques de natures différentes auxquelles les entreprises doivent faire face.
De plus, la cybermalveillance revêt également plusieurs formes : cybercriminalité, cyberattaque et cyberterrorisme. La cybercriminalité implique des acteurs isolés qui ciblent des systèmes en vue d’obtenir des gains financiers. La cyberattaque, quant à elle, se manifeste par la collecte d’informations à des fins politiques. Et enfin, le cyberterrorisme consiste à fragiliser des systèmes électroniques afin de provoquer un mouvement de panique ou de peur.
Parmi les nombreuses technologies utilisées par les hackers, les malwares constituent des programmes malveillants visant à endommager le terminal d’un utilisateur. Ils se présentent sous différentes formes :
- Le virus qui infecte des fichiers sains
- Le trojan horse ou Cheval de Troie qui usurpe l’identité des logiciels authentiques en piégeant les utilisateurs pour collecter des données
- Le ransomware qui verrouille les fichiers et les données d’un utilisateur en le menaçant de tout effacer s’il ne lui paie pas une rançon
- Le cryptoLocker qui est l’addition du Cheval de Troie et du ransomware
- Le spyware qui espionne et enregistre les actions des utilisateurs
- L’adware qui est un logiciel publicitaire faisant la promotion des malwares
- Les botnets qui permettent aux cybercriminels, ayant infecté des réseaux d’ordinateurs, d’effectuer des actions en ligne sans l’autorisation de l’utilisateur
- Le DoS (Denial-Of-Service) qui attaque par déni de service et qui rend indisponible certains services afin d’empêcher les utilisateurs légitimes de ces services de l’utiliser
- Les arnaques / fraudes au président qui consistent à usurper l’identité d’une figure d’autorité afin de donner de faux ordres de virement international (FOVI) aux membres du service trésorerie ou de la comptabilité ou à des proches du CEO par exemple.
Ces dernières connaissent une hausse exponentielle depuis une dizaine d’années. Dernière histoire en date : en décembre 2021, le promoteur immobilier Sefri-Cime s’est fait dérober plus de 35 millions d’euros par des escrocs ayant usurpé l’identité du patron de la société. Dans le cadre de la future entrée en bourse de l’entreprise, la comptable a été sommée d’effectuer des virements. Bien qu’expérimentée, elle est tombée dans le piège et a procédé aux quarante virements ordonnés par les cybercriminels vers des comptes bancaires à l’étranger (souvent la Hongrie, la Croatie, et la Grèce). Les sommes sont ensuite redirigées vers des paradis fiscaux.
Comment minimiser le risque humain face à la cybersécurité ?
Le service informatique d’une entreprise est généralement garant de la sécurité du SI (Système d’Information). Or, toute personne ayant accès aux ressources de l’entreprise joue un rôle dans la cybersécurité de son organisation. Pour ce faire, il convient de fournir un effort collectif et d’adopter une approche à la fois proactive et vigilante.
Chaque individu pouvant potentiellement constituer une « faille de sécurité », quelles mesures mettre en œuvre pour se prémunir des risques ?
Une bonne hygiène informatique
À l’échelle individuelle, les utilisateurs doivent appliquer plusieurs bonnes pratiques : employer des mots de passe robustes et maintenir leur confidentialité, effectuer régulièrement des mises à jour, faire preuve de prudence dans la diffusion des informations personnelles ou lors de l’ouverture de courriels… Il est également recommandé de proscrire les pratiques de Shadow IT : emploi de terminaux et de logiciels non autorisés par le service informatique. Ces règles élémentaires constituent ce que l’on appelle « l’hygiène informatique » : autant de bonnes habitudes à prendre pour améliorer sa posture individuelle et donc la sécurité collective de l’organisation.
Sensibiliser, former, évaluer
Les entreprises peuvent limiter la portée des attaques grâce à des solutions techniques de cyberdéfense, comme les antivirus, les EDR et les filtres anti-phishing, répondant aux menaces connues. Toutefois, la technologie à elle seule ne suffit pas à les protéger complètement contre les cyberattaques. Elles doivent absolument compléter leur démarche par des actions de formation et de sensibilisation de leurs collaborateurs aux risques cyber.
Plus que de simples campagnes de communication ponctuelles, ces mesures visent à apporter aux utilisateurs le savoir et les compétences nécessaires pour leur permettre d’identifier les attaques et se prémunir contre elles. S’inscrivant généralement dans un temps moyen à long, elles comportent des tests d’hameçonnage et autres exercices pratiques pour stimuler et évaluer en permanence l’assimilation des connaissances. Dans le cas précis de l’ingénierie sociale, il s’agira par exemple de faire un tour d’horizon des dernières techniques de phishing et de s’entraîner à réagir en réalisant des simulations de vishing dans lesquelles un attaquant usurpe le numéro appelant.
Ce type de programmes permet non seulement de réduire les risques de systèmes compromis, mais aussi de créer une culture de la sécurité de l’information à l’intérieur comme à l’extérieur de l’organisation.
La cybersécurité requiert donc une attention particulière et l’engagement de chacun d’entre nous. Être plus rusé que les hackers informatiques et faire preuve de méfiance à leur égard est aujourd’hui devenu une priorité absolue.
Les usages et les comportements des collaborateurs ont des répercussions importantes sur le niveau de sécurité de leur entreprise. Il est donc indispensable de les inclure dans la politique de sécurité des SI, de leur fournir les connaissances et les compétences nécessaires dans le domaine de la cybersécurité et de renforcer leur implication dans la protection du SI et des données de la société.
L’enjeu de la cybersécurité est double : lutter contre la cybercriminalité et s’adapter à l’apparition de nouvelles menaces. Plus les employés seront cybersensibilisés via des formations à la cybersécurité, plus le risque humain sera diminué.
Pour en savoir plus sur la sensibilisation des collaborateurs à la cybersécurité